DragonForce fidye yazılımı çetesi, Microsoft Teams’in TURN (Traversal Using Relays around NAT) altyapısını kötüye kullanarak komuta kontrol trafiğini gizleyen özel bir arka kapı geliştirdi. Symantec araştırmacıları, Backdoor.Turn zararlı yazılımı olarak adlandırılan bu tehdidin, Microsoft Teams’in güvenilir altyapısı içinde saklanarak ağ savunucularını yanılttığını tespit etti. Saldırı, Aralık 2025’te ABD’li büyük bir hizmet şirketine karşı gerçekleştirilirken, DragonForce’un Scattered Spider grubuyla bağlantılı olduğu ve kartel tarzı bir organizasyon yapısına sahip olduğu belirtiliyor.

Backdoor.Turn Microsoft Teams TURN Sunucularını Komuta Kontrol İletişimi İçin Kullanıyor

DragonForce saldırısında kullanılan Backdoor.Turn, Microsoft Teams TURN kötüye kullanımı yöntemiyle çalışıyor. TURN protokolü, doğrudan bağlantının mümkün olmadığı durumlarda mesaj dağıtımı için Microsoft Teams tarafından kullanılıyor. Backdoor.Turn, anonim bir Teams ziyaretçi jetonu elde ederek bağlantı kurulumu sırasında meşru bir Microsoft TURN aktarıcısı kullanıyor ve ardından saldırganın komuta kontrol sunucusuna bağlanıyor. Bu yöntem, savunmacıların Microsoft Teams altyapısıyla ilişkili trafik görmesine neden oluyor ve Backdoor.Turn iletişimini güvenilir bir ağ içinde gizlemesine olanak tanıyor.

Backdoor.Turn, Go tabanlı bir uzaktan erişim truva atı (RAT) olarak geliştirilmiş ve şimdiye kadar Microsoft Teams TURN aktarıcılarını komuta kontrol iletişimi için kötüye kullanan bilinen ilk zararlı yazılım olma özelliğini taşıyor. Zararlı yazılımın yetenekleri arasında komut yürütme, süreç oluşturma, ağ taraması, TLS sertifikası yakalama, LDAP/Active Directory araması, web sitesi başlık toplama ve tarayıcı kimlik bilgisi hırsızlığı bulunuyor. Ghost Calls tekniği olarak bilinen bu yöntem, geçen yıl Praetorian tarafından kavram olarak gösterilmişti ve şimdi gerçek bir saldırıda kullanıldı.

Saldırganlar BYOVD Taktikleriyle Güvenlik Araçlarını Etkisiz Hale Getiriyor

DragonForce fidye yazılımı saldırısı, muhtemelen bir SQL veya MSSQL sunucusundaki bilinmeyen bir güvenlik açığının kullanılmasıyla başladı. Saldırganlar ilk erişimi elde ettikten sonra, meşru VirtualBox/DbgView yürütülebilir dosyası ve yan yükleme için kullanılan kötü amaçlı bir DLL dosyası içeren bir ZIP arşivi indirdi. Bu aşamada saldırgan, kalıcılığını güçlendirdi, sahte kullanıcılar oluşturdu, kolay erişim için Windows’taki LimitBlankPassword güvenlik politikasını kötüye kullandı ve güvenlik duvarı kurallarını değiştirdi.

👉️ İlginizi Çekebilir: Microsoft Teams Üzerinden Yeni Sosyal Mühendislik Riski: Harici Tenant’lar Helpdesk Gibi Davranarak Kullanıcıları Hedefliyor

Daha sonra saldırganlar, Huawei’nin HWAuidoOs2Ec.sys sürücüsü, Topaz Antifraud wsftprm.sys, Tower of Fantasy GameDriverx64.sys ve K7 Security K7RKScan.sys dahil olmak üzere birden fazla sürücü kullanarak BYOVD taktikleri uyguladı. Bu sürücüler, saldırganlara çekirdek seviyesinde ayrıcalıklar kazandırdı ve ana bilgisayardaki güvenlik araçlarını sonlandırdı. Ayrıca ABYSSWORKER adlı meşru bir Palo Alto sürücüsü gibi görünen özel bir kötü amaçlı sürücü de kullanıldı. Backdoor.Turn’un DbgView64.exe içerisine enjekte edilmesi, arka kapının kalıcılık veya gelecekteki erişim için tasarlanmış olabileceğini gösteriyor.